Retten til at blive glemt

Arbejder I med persondata på nogen måde? Så er det vigtigt, at i har gjort jer bekendt med retten til at blive glemt (Right-to-be-forgotten).

Rettigheden skal sikre at alle EU-borgere har ret til at blive slettet. Den er kommet efter mange års forhandlinger og uddyber og præciserer retten til sletning, som også fandtes i det gamle persondatadirektiv fra 1995.

Konkret betyder det, at en EU-borger kan bede om at få indsamlede oplysninger rettet, hvis de er forkerte eller irrelevante.

Og, med få undtagelser, få dem slettet, f.eks. hvis EU-borgeren finder oplysningerne skadelige, irrelevante eller forældede.

Sletningsgrundlag

Hvis der er indsamlet oplysninger om en EU-borger, har borgeren, ret til at få denne data slettet uden forsinkelse.

Derfor skal den dataansvarlige virksomhed sikre, at oplysningerne kan slettes så længe følgende opfyldes:

  • Personoplysningerne er ikke længere nødvendige i forbindelse med formålet, som oplysningerne var indsamlet til.
  • EU-borgeren trækker sit samtykke, som databehandlingen er baseret på, tilbage.
  • EU-borgeren protesterer over databehandlingen, og der er derudover ikke nogle lovmæssige grunde for behandlingen.
  • Behandlingen af data sker på et ulovligt grundlag.
  • Personoplysningerne skal slettes for at overholde lovmæssige forpligtelser fra enten EU eller det EU-medlemsland, som borgeren er underlagt.
  • Personoplysningerne er indsamlet i forbindelse med samfundsoplysende informationer.

Hvad skal man som virksomhed gøre?

Med retten til at blive glemt bliver dataansvarlige virksomheder forpligtet til at udforme initiativer, der kan sikre borgernes ret.

Det kan altså dermed have administrative, økonomiske og tidsmæssige konsekvenser ikke at opfylde denne.

Det betyder også, at den dataansvarlige virksomhed, der har offentliggjort persondata, må sørge for de nødvendige tekniske løsninger.

De skal være på plads for at sikre at EU-borgere, til en hver tid og uden forsinkelse, kan få slettet persondata, samt links til, kopier og gengivelser af indsamlet persondata.

Dette gælder også, hvis data bliver behandlet af tredjepart.

Derfor er det nødvendigt, at man har det rette personale og den nødvendige software på plads, der konkret kan finde og slette data.

For eksempel har Google tidligere måttet ansætte en hel medarbejderstab kun til at tage sig af forespørgsler på at blive slettet. Man kan se deres formular i forbindelse med sletning af persondata her.

Udtagelser for sletning

I persondataforordningen er der nævnt få undtagelser, der tillader virksomheder at afvige fra retten til at blive glemt.

F.eks. behøver en dataansvarlig virksomhed ikke at slette data i forbindelse med retten til at blive glemt, hvis det bliver vurderet, at der er tale om data, der er af historisk eller særlig forskningsmæssig betydning.

Ligeledes kan man også afvige fra at slette data, hvis man vurderer at data har offentlighedens interesse, eller at data skal forblive af hensyn til informations- og ytringsfrihed.

Hvis du vil vide mere

Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.

Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.

Datatilsynet har også udarbejdet en Vejledning om de registreredes rettigheder, hvor du kan læse mere om retten til at blive glemt.

Mere om Persondataforordningen

Guides, artikeler og tjeklister om Persondataforordningen (GDPR)

Besøg vores GDPR-univers

IT-Branchen har udarbejdet en lang række guides, artikler og tjeklister om persondataforordningen.
Besøg vores univers
Forskellen mellem almindelige persondata, fortrolige persondata og følsomme persondata i forhold til persondataforordningen

Hvad er persondata egentligt?

Den nye persondataforordning betyder skærpede krav til virksomheders behandling af persondata. Men hvad er det egentligt for en størrelse?
Læs mere